Směrnice NIS2 (NIS = Network and Information System) navazuje na aktuálně účinnou směrnici NIS (o opatřeních k zajištění vysoké společné úrovně bezpečnosti sítí a informačních systémů v EU), a s ohledem na stále intenzivnější digitalizaci rozšiřuje její působnost. Směrnice NIS2 vstoupila v platnost v polovině ledna 2023 a ukládá ČR stejně jako ostatním členským státům EU do začátku roku 2025 (zde došlo k posunu termínu z původně očekávané poloviny října 2024) upravit národní legislativu.
Zásadní změna oproti NIS je hlavně ve vnímání rizika a kybernetických hrozeb. Provázanost fungování společnosti jako celku a organizací (firem) v ní je již tak velká, že prakticky neexistuje odvětví, kde by informační systémy nehrály významnou roli. Z tohoto důvodu již ani směrnice NIS2 nehledá systémy důležité pro společnost, ale požaduje zabezpečit vše, co souvisí s poskytováním služeb potřebných pro její fungování.
Směrnice NIS2 přináší tedy mnoho změn v oblasti zajišťování kybernetické bezpečnosti a významně rozšiřuje množství organizací, které budou do regulace nově spadat.
Změny, které směrnice NIS2 přináší jsou natolik zásadní, že NÚKIB k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek. S platností tohoto zákona o kybernetické bezpečnosti a souvisejících vyhlášek přijde i lhůta stanovující přechodné období pro organizace, na které se zákon nově vztáhne, a během kterého budou mít čas, aby zavedly potřebná opatření.
Návrhy předpisů se budou ještě upravovat, ale regulovaná odvětví, povinné subjekty a základní povinnosti jsou známé již nyní.
Cíle NIS 2:
Organizace spadá pod regulaci směrnice NIS2 pokud splňuje tyto 2 podmínky:
- poskytuje alespoň jednu regulovanou službu uvedenou v přílohách směrnice (viz obrázek níže)
- je středním nebo velkým podnikem. Podle velikosti organizace a podle významnosti regulované služby se na ně budou vztahovat vyšší nebo nižší povinnosti.
Bude se vaše společnost řídit novým zákonem? Použijte kalkulačku NÚKIB.
Nová úprava tedy dopadne na rozsáhlý okruh subjektů, jimž přinese významnou finanční a administrativní zátěž. Je tedy určitě na místě začít se co nejdřívě zabývat i finančním plánováním, které zohlední splnění povinností daných navrhovaným zákonem o kybernetické bezpečnosti.
Povinné subjekty budou zejména muset přijmout technická a organizační opatření k řízení bezpečnostních rizik. Technická opatření mohou spočívat například v používání vhodného softwaru (např. antivirus), sledování zranitelností a segmentace sítě, zavedení vícefaktorového ověřování. Organizační opatření pak znamenají vytvoření dokumentace – pravidel pro interní postupy (např. proces nástupu nového zaměstnance, nastavení účtů, zvládání bezpečnostních incidentů aj.).
Povinné subjekty musí naplňovat kritéria stanovena navrhovanou vyhláškou. Společnosti musí nově provést takzvanou samoidentifikaci = zjistit, zda jsou povinným subjektem regulované služby a do jaké kategorie povinností nově spadají. Následně se musí NÚKIBu sami nahlásit (registrovat) a budou zapsány do evidence. Nesplnění této povinnosti je sankcionováno vysokou pokutou!
Nové povinnosti
Povinné subjekty se budou muset zaměřit zejména na:
- povinné vzdělávání vrcholového vedení organizace a větší odpovědnost managementu za zajišťování kybernetické bezpečnosti v organizaci. Pokud se bude vrcholné vedení regulované organizace soustavně vyhýbat plnění svých zákonných povinností vyplývajících z návrhu zákona o kybernetické bezpečnosti a jeho prováděcích předpisů, může regulátor nařídit pozastavení funkce managementu.
- povinnost schválit opatření k řízení kybernetických bezpečnostních rizik,
- analýzu rizik a politiky bezpečnosti informací,
- zvládání incidentů,
- kontinuitu činností (tj. business kontinuita), přičemž směrnice tento okruh ještě rozvádí o příklad zálohování, zotavení (disaster recovery) a krizové řízení,
- bezpečnost v rámci dodavatelského řetězce,
- bezpečnost v rámci pořízení, vývoje a údržby systémů,
- politiky a postupy pro hodnocení účinnosti bezpečnostních opatření (tj. audit),
- praktiky základní počítačové hygieny a vzdělávání v oblasti kybernetické bezpečnosti,
- politiky a postupy týkající se využívání kryptografie a tam, kde je to vhodné, také šifrování,
- bezpečnost lidských zdrojů, řízení přístupů a aktiv a využívání vícefaktorového ověření identity
- za nedodržení uložených povinností budou subjektům hrozit pokuty
Principem zavádění těchto bezpečnostních opatření je vést organizaci k tomu, aby si zmapovala své prostředí, identifikovala, co všechno potřebuje pro zajištění chodu své regulované služby, vyhodnotila si rizika (nejen ta kybernetická), která mohou službu ohrozit a zavedla přiměřená opatření, kterými daná rizika sníží na akceptovatelnou úroveň.
Jak vám můžeme pomoci:
- Monitoringem přicházejících změn české legislativy v oblasti kybernetické bezpečnosti a vysvětlením změn a povinností, které z nich vyplývají
- Vysvětlením vyplývajících povinností v klíčových oblastech jako je plán kontinuity činnosti, řízení dodavatelského řetězce, risk management, incident management
- Revizí bezpečnostní dokumentace, interních předpisů a dotčených procesů
- Řízením rizik a asistencí při kontrolách a zastupování při řízeních u dozorových úřadů
Připravte se včas, zvyšte svou připravenost i konkurenceschopnost. Ať už se vás legislativa kolem NIS2 bude týkat, nebo ne, investice do zabezpečení vaší organizace je rozhodně nižší, než ztráty z dopadu případného kybernetického incidentu na chod a dobré jméno firmy. Obraťte se na nás a promluvíme si o tom.
Proč SoftwareOne?
- Jsme experty v oblasti organizační i technické bezpečnosti.
- Pomůžeme vám s procesní bezpečností a doporučíme nejvhodnější technologie pro zabezpečení vaší organizace.
- Naše portfolio zohledňuje Zákon o kybernetické bezpečnosti (ZoKB), NIS2, DORA, GDPR, ISO normy, cloudové služby a další.
- Víme, co se chystá – sledujeme legislativu a nejnovější trendy na poli bezpečnostních technologií.
- Dodáváme řešení, které pro vás bude dlouhodobě užitečné, ne pouze pro jednorázové splnění požadavků.
- Poskytujeme služby srozumitelnou formou a na míru vaší organizaci.
Objevte naše služby pro komplexní řešení kyberbezpečnosti.
Neváhejte nás kontaktovat
Rádi s vámi vše projdeme a vysvětlíme.
Neváhejte nás kontaktovat
Rádi s vámi vše projdeme a vysvětlíme.